- Primaire verificatie gestart naar Cisco ISE-id
- Cisco ASA stuurt een verificatieaanvraag naar de Duo-verificatieproxy
- Primaire verificatie maakt gebruik van Active Directory of RADIUS
- Duo Authenticatie Proxy-verbinding ingesteld met Duo Security over TCP-poort 443
- Secundaire authentificatie via de dienst van Duo Security
- Duo authenticatie proxy ontvangt authenticatiereactie
- Cisco ISE-toegang verleend
Gebruikersaccounts:
- Active Directory Admin: Dit wordt gebruikt als de directory account om de Duo Auth Proxy te laten binden aan de Active Directory-server voor primaire verificatie.
- Testgebruiker van Active Directory
- Duo testgebruiker voor secundaire verificatie
Active Directory-configuraties
Windows-server is vooraf geconfigureerd met Active Directory Domain-services.
Opmerking:Als RADIUS Duo Autor Proxy Manager op dezelfde Active Directory-hostmachine wordt uitgevoerd, moeten de NPS-rollen (Network Policy Server) worden verwijderd/verwijderd. Als beide RADIUS-services worden uitgevoerd, kunnen ze conflicten veroorzaken en gevolgen hebben voor de prestaties.
Om een AD-configuratie voor verificatie en gebruikersidentiteit op gebruikers van Remote Access VPN te realiseren, zijn een paar waarden vereist.
Al deze gegevens moeten worden gecreëerd of verzameld op de Microsoft Server voordat de configuratie kan worden uitgevoerd op de ASA- en Duo Auth-proxyserver.
De belangrijkste waarden zijn:
- Domeinnaam. Dit is de domeinnaam van de server. In deze configuratiehandleiding is agarciam.cisco de domeinnaam.
- IP/FQDN-adres van server. Het IP-adres of FQDN wordt gebruikt om de Microsoft-server te bereiken. Als een FQDN wordt gebruikt, moet een DNS-server worden geconfigureerd binnen ASA en Duo Auth proxy om de FQDN op te lossen.
In deze configuratiehandleiding is deze waarde agarciam.cisco (die zich oplost in 10.28.17.107).
- Serverpoort. De poort die wordt gebruikt door de LDAP-service. Standaard gebruiken LDAP en STARTTLS TCP-poort 389 voor LDAP en gebruikt LDAP over SSL (LDAPS) TCP-poort 636.
- root-CA. Als LDAPS of STARTTLS wordt gebruikt, is de wortel CA die wordt gebruikt om het SSL certificaat te ondertekenen dat door LDAPS wordt gebruikt vereist.
- Gebruikersnaam en wachtwoord voor map Dit is het account dat door Duo Auth proxy server wordt gebruikt om te binden aan de LDAP-server en gebruikers te verifiëren en te zoeken naar gebruikers en groepen.
- Basisnaam en Groepsnaam (DN). De Base DN is het vertrekpunt voor Duo Auth proxy en vertelt de Active directory om te beginnen met zoeken naar gebruikers en hen te verifiëren.
In deze configuratiegids, wordt het worteldomein agarciam.cisco gebruikt aangezien de Basis DN en Groep DN Duo-GEBRUIKERS zijn.
1. Om een nieuwe Duo gebruiker, op Windows Server toe te voegen, navigeer naar Windows pictogram linksonder en klik op Windows-beheerprogramma's, zoals in de afbeelding.
2. Ga in het venster Windows-beheertools naar Active Directory-gebruikers en -computers.
Vouw in het paneel Active Directory-gebruikers en -computers de domeinoptie uit en navigeer naar de map Gebruikers.
In dit configuratievoorbeeld wordt Duo-USER gebruikt als doelgroep voor secundaire authenticatie.
3. Klik met de rechtermuisknop op de map Gebruikers en selecteer Nieuw > Gebruiker, zoals in de afbeelding.
4. Specificeer in het venster Nieuwe gebruiker-object de identiteitskenmerken van deze nieuwe gebruiker en klik op Volgende, zoals in de afbeelding.
5. Bevestig het wachtwoord en klik op Volgende. Voltooien zodra de gebruikersinformatie is geverifieerd.
6. Wijs de nieuwe gebruiker toe aan een specifieke groep, klik met de rechtermuisknop op de groep en selecteer Toevoegen aan een groep, zoals in de afbeelding.
7. Typ in het paneel Groepen selecteren de naam van de gewenste groep en klik op Namen controleren.
Selecteer vervolgens de naam die overeenkomt met uw criteria en klik op OK.
8. Dit is de gebruiker die in dit document als voorbeeld wordt gebruikt.
Twee configuraties
1. Log in op uw Dudo Admin portal.
2.In het linker zijpaneel, navigeer naar Gebruikers, klik op Add User en typ de naam van de gebruiker die overeenkomt met onze Active Domain-gebruikersnaam, en klik vervolgens op Add User.
3. Vul in het nieuwe gebruikerspaneel de spatie in met alle benodigde informatie.
4. Specificeer onder gebruikersapparaten de secundaire verificatiemethode.
Opmerking:In dit document wordt de methode Duo push for mobile devices gebruikt, dus moet er een telefoonapparaat worden toegevoegd.
Klik op Telefoon toevoegen.
5. Typ het telefoonnummer van de gebruiker en klik op Telefoon toevoegen.
6. Navigeer naar Gebruikers op het linkerpaneel Duo Admin en klik op de nieuwe gebruiker.
Opmerking:In het geval u op dit moment geen toegang hebt tot uw telefoon, kunt u de e-mailoptie selecteren.
7.Navigeren naar telefoons sectie en klik op Duo Mobile activeren.
8. Klik op Generate Duo Mobile Activeringscode.
9. Selecteer E-mail om de instructies via e-mail te ontvangen, typ uw e-mailadres en klik op Instructies per e-mail verzenden.
10. U ontvangt een e-mail met de instructies, zoals getoond in de afbeelding.
11. Open de Duo Mobile App vanaf uw mobiele apparaat en klik op Add dan selecteer Use QR code en scan de code uit de instructies e-mail.
12. Nieuwe gebruiker wordt toegevoegd aan uw Duo Mobile App.
Configuratie van twee autorisatieproxy
1.Download en installeer Duo Auth Proxy Manager van https://duo.com/docs/authproxy-reference.
Opmerking:In dit document is Duo Auth Proxy Manager geïnstalleerd op dezelfde Windows-server waarop Active Directory-services worden gehost.
2. Navigeer in het Duo Admin-paneel naar toepassingen en klik op Protect a Application.
3. Zoek in de zoekbalk naar Cisco ISE-straal.
4. Kopieer de integratiesleutel, de beveiligingssleutel en de API Hostname. U hebt deze gegevens nodig voor de configuratie van de Duo-verificatieproxy.
5. Start de Duo Authenticatie Proxy Manager applicatie en vul de configuratie voor zowel de Active Directory-client als de ISE Radius Server in en klik op Valideren.
Opmerking: Als de validatie niet succesvol is, raadpleegt u het tabblad debug voor meer informatie en corrigeert u dit.
Cisco ISE-configuraties
1. Log in op het ISE-beheerportal.
2.Breid het tabblad Cisco ISE uit en navigeer naar beheer, klik vervolgens op Network Resources en klik op Externe RADIUS-servers.
3. Klik op het tabblad Externe RADIUS-servers op Toevoegen.
4. Vul de spatie in met de RADIUS-configuratie die wordt gebruikt in de Duo Authenticatie Proxy Manager en klik op Indienen.
5. Navigeer naar het tabblad RADIUS-serversequenties en klik op Add.
6. Specificeer de naam van de reeks en wijs de nieuwe externe RADIUS-server toe. Klik op Indienen.
7. Navigeer van het menu Dashboard naar Beleid en klik op Beleidssets.
8. Wijs de RADIUS-sequentie toe aan het standaardbeleid.
Opmerking:In dit document wordt de Duo-reeks op alle verbindingen toegepast, dus wordt het standaardbeleid gebruikt. De beleidstoewijzing kan naar behoefte variëren.
Cisco ASA RADIUS/ISE-configuratie
1. Configureer ISE RADIUS-server onder AAA-servergroepen, navigeer naar Configuration en klik vervolgens op Apparaatbeheer en vouw het gedeelte Gebruikers/AAA uit, selecteer AAA-servergroepen.
2. Klik in het paneel AAA-servergroepen op Add.
3. Selecteer de naam van de servergroep en specificeer RADIUS als het te gebruiken protocol en klik vervolgens op OK.
5. Selecteer uw nieuwe servergroep en klik op Add onder de Server in het paneel Geselecteerde groep, zoals in de afbeelding.
6. Selecteer in het venster AAA-server bewerken de interfacenaam, geef het IP-adres van de ISE-server op, typ de geheime RADIUS-toets en klik op OK.
Opmerking: al deze informatie moet overeenkomen met de informatie die in Duo Verification Proxy Manager is opgegeven.
CLI-configuratie.
aaa-server ISE protocol radius
dynamic-authorization
aaa-server ISE (outside) host 10.28.17.101
key *****
Cisco ASA VPN-configuratie voor externe toegang
ip local pool agarciam-pool 192.168.17.1-192.168.17.100 mask 255.255.255.0
group-policy DUO internal
group-policy DUO attributes
banner value This connection is for DUO authorized users only!
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split-agarciam
address-pools value agarciam-pool
tunnel-group ISE-users type remote-access
tunnel-group ISE-users general-attributes
address-pool agarciam-pool
authentication-server-group ISE
default-group-policy DUO
tunnel-group ISE-users webvpn-attributes
group-alias ISE enable
dns-group DNS-CISCO
Testen
1. Open de AnyConnect-app op uw pc-apparaat. Specificeer de hostnaam van de VPN ASA Head-end en log in met de gebruiker die is gemaakt voor Duo secundaire verificatie en klik op OK.
2. U hebt een Duo-push-melding ontvangen op het opgegeven Duo Mobile-apparaat.
3. Open de Duo Mobile App-melding en klik op Goedkeuren.
4. Accepteer de banner en er wordt een verbinding tot stand gebracht.
Problemen oplossen
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
De Duo-verificatieproxy wordt geleverd met een debug-tool die de redenen voor fouten en fouten weergeeft.
Fouten in het werk
Opmerking:De volgende informatie wordt opgeslagen in C:\Program Files\Duo Security Authenticatie Proxy\log\connectiviteit_tool.log.
1. Connectiviteitsproblemen, verkeerde IP, onoplosbare FQDN/Hostname op Active Directory-configuratie.
2. Verkeerd wachtwoord voor beheerder op Active Directory.
Debugs.
3.Wrong Base Domain.
Debugs.
4. Foute RADIUS-waarde.
Debugs
5. Controleer of ISE-server access-request pakketten verstuurt.
6. Om te bevestigen dat de Duo-verificatieproxy werkt, biedt Duo de tool NTRadPing om pakketten voor toegangsaanvragen en antwoorden met Duo te simuleren.
6.1 Installeer NTRadPing op een andere PC en genereer verkeer.
Opmerking:In dit voorbeeld wordt de 10.28.17.3 Windows-machine gebruikt.
6.2 Configuratie met de eigenschappen die op de configuratie van de ISE-straal worden gebruikt.
6.3 Configureer de Duo Authenticatie Proxy Manager als volgt.
6.4. Navigeer naar uw NTRadPing tool en klik op Verzenden. U ontvangt een duo push-melding op het toegewezen mobiele apparaat.